Posts by christianr

    ... Beiträge von christianr sind meines erachtens schon immer ziemlich unprofessionell, er pöbelt andere an und solche Beiträge unter der Gürtelinie ...

    Klar, unprofessionell .. Nur weil ich nicht sofort auf den Zug aufspringe und jemanden anderen, welcher keinerlei tatsächlichen Informationen geschrieben hat, in einem Hosting Forum (!) einzureden versuche er sei Alkoholiker .. Wer sich hier unprofessionell verhält sollte bei tatsächlicher objektiver Betrachtung klar sein...

    Und jetzt erkläre mir bitte noch was an meinen Fragen, welche einzig und alleine einer Spezifizierung zur Einschätzung der Lage dienten "unter der Gürtellinie war"? Unter der Gürtellinie ist es Romane zu schreiben auf eine Frage wo man lediglich reininterpretiert, welche aber keinerlei Fakten liefert - und das ist mein absoluter Ernst, denn das ist unprofessionell (!).

    also entschuldigung christianr,
    aber ich finde deinen post unter aller kanone.

    Weil? Weil ich versuche zu verstehen und nicht zu interpretieren? Findet man heut zu tage nicht mehr allzu häufig, ich weiß, daher wirkt es manchmal etwas komisch - aber ich bin Physiker und versuche mit Wissen und Verständnis zu arbeiten und nicht mit "zwischen den Zeilen lesen"


    ... dann ist das ja zwanghaft.

    ...das ist ja wohl durchaus ein grund für weitergehende hilfe.

    schließlich hat das offensichtlich krankhafte züge.

    Alles nur deine interpretation - steht aber niergends.


    ob er überhaupt krank ist oder das nur eingeredet bekommen hat?

    Hier wird es interessant. Zum einen suggerierst du eine Krankheit - mit welcher expertise bzw mit welchem Recht tust du das? Mal ehrlich, mit welchem Recht und insbesondere mit welcher Qualifikation kommst du her und diagnostizierst bei einem dir wildfremden Menschen der einen Einzeiler geschrieben hat eine Krankheit?

    Und zum anderen: wo schreibe ich, dass ihm irgendetwas eingeredet wurde? Ich weiß was ich geschrieben habe - und das habe ich mit Sicherheit nicht geschrieben.

    Im übrigen bedeutet Entgiftung nicht zwangsläufig Entzug. Wenn ich Entzug meine, schreibe ich Entzug.

    Eine Entgiftung ist für mich eine Entschlackung - mache ich auch jedes Jahr, auch für meine Leber.... Alkoholiker bin ich deshalb noch lange nicht.


    Ich klinke mich aber an dieser Stelle aus - aber dennoch denke ich, dass es das letzte ist was ein Hilfesuchender braucht was die Leute hier machen...

    Ich trinke zu viel und habe bereits 2 Entgiftungen hinter mir. Hat jedes mal super geholfen, aber immer nur für wenige Wochen.


    Mir wurde nahegelegt mal die "Anonymen Alkohliker" auszuprobieren.

    Was bedeutet "zu viel"?

    Und sagst du selbst, dass du "zu viel" trinkst oder sagen das andere?

    Was trinkst du?


    Es ist wohl primär erstmal die Frage ob das trinken zwanghaft ist oder nicht.

    Die meisten Menschen in Bayern und auch Österreich "trinken zu viel" wenn ich die Empfehlungen so anschaue.

    Viele sehen alles über 5 Bier pro Woche schon kritisch.


    Die größte Frage in diesem Zusammenhang wird wohl auch sein ob du dein Leben gut im Griff hast oder ob das Trinkverhalten einen negativen Einfluß auf deinen Lebensplan hat, mal abgesehen von etwaigen Mitmenschen, welchen das möglicherweise nicht recht ist.

    Ich kenne das ehrlich gesagt nicht, dass es automatische Backups bei root Servern gibt. Die Server snapshots sehe ich bei netcup auch nicht als Backup.

    Ein Backup sollte meines Erachtens dann schon irgendwo anders gespeichert sein, sonst macht es ja keinen Sinn.

    Bist du als root eingeloggt? (Frage nur weil das sudo überall fehlt)

    Was ist die Ausgabe von

    'lsof | grep xtable' und 'ufw status'?

    Und welche Version von ufw läuft?


    Bist du dir sicher dass ufw zuvor gelaufen ist?

    Über 6 Tage...?

    Ich hab das in einem Post zuvor schon beschrieben wies dann läuft.

    Quote

    Denn richtig interessant wird es wenn dein Limit erreicht wird und die Leute wie wild weiter senden und es nochmal und nochmal und nochmal versuchen, dann bekommst die Mails aus dem Server Verteiler auch nicht mehr raus - habe diesbezüglich mal mit dem Support telefoniert - keine Chance.

    Bei uns waren dann hunderte Mails in der Warteschlange - die nicht löschbar ist (angeblich) und es ging lange Zeit einfach garnix mehr.


    Hab das an anderer Stelle auch schon mal geschrieben, dass es meines Erachtens ziemlich Unverschämt ist, dass dies nicht klar kommuniziert wird. die Limits sind lächerlich niedrig. Richtigen Spam kann ich nicht mal mit 10 mal höheren Limits versenden.

    Und in welcher cloud synchronisiert du dann deine KeePass Datei TBT?


    Valkyrie

    Ich hab die Datei in meiner privaten Nextcloud schon alleine aus dem Grund der mehrfachen Speicherung, falls irgendwas mit meinem Laptop sein sollte etc.

    Aber ich verwende den Tresor auch aufm Handy und aufm Tablet. Tablet weniger aber Handy schon mehrfach täglich.


    Eine notwendigkeit auf sämtlichen Maschinen den Tresor lauffähig zu machen, insbesondere Remote Desktops etc, sehe ich nicht und würde ich auch nicht machen. Dafür kann ich ja einfach die Auto Type Funktion von KeePassXC verwenden - was auch der Grund für mich ist warum ich bis jetzt noch nicht auf Bitwarden gewechselt habe.

    Wo es herkommt sollte ja klar sein, da wird über einen PIN ein Strom zurückgegeben zum PC.

    Wenn du ein Multimeter hast kannst ja den HDMI Port der in deinen PC geht abziehen und austesten welcher PIN es ist. Darüber wirst dann schauen können ob es so einfach zu beheben ist.

    Ansonsten kannst ja als erstes mal einen anderen HDMI Port vom Monitor/Fernseher testen, z.b. einen ohne ARC und CEC.

    Außerdem würde ich mal testen ob das Problem auch besteht wenn du den Monitor abziehst, also nur Xbox und PC an den Adapter hängen und ob der Effekt auch auftritt (Xbox muss natürlich an sein) - wenn dies der Fall ist, weißt du dass Strom fließt zwischen Xbox und PC - ansonsten vom Monitor/Fernseher zurück.


    Wenn du das alles getestet hast, kannst ja nochmal Rückmeldung geben.

    Du unterschätzt gewaltig wieviele bekannte Lücken über Jahrzehnte nicht gestopft werden. Bei OS und auch bei Nicht-OS.

    Sehr gut möglich, ja. Wenn es so gewaltig viel ist, könntest du mir 2-3 Beispiele nennen? Dann kann ich mich etwas informieren.


    Aber deine Aussage stützt ja meine Aussage, dass Softwarehersteller nicht zwingend Löcher stopfen (müssen) außer sie richtigen Schaden an etc.


    Zu wenig geschützte Bereiche zu finden, bedeutet nicht die Software zu ändern.

    Ändert nichts daran, dass es in der Regel trotzdem verboten ist.

    und das beides keine Sicherheit aufgrund ihrer Methodik bietet.

    Da stimme ich dir allgemein im Bezug auf Software zu.

    Bei Passwort Managern schaut es aber trotzdem etwas anders aus, weil eine Firma die Millionen von Passwörtern von abertausenden Leuten speichert ein sehr viel interessanteres Ziel darstellt als meine individuell durch Open Source Software verschlüsselte Datenbank daheim auf meinem Laptop und das verschiebt die Rechnung etwas.


    Auch die Statistik über ausgenutzte Schwachstellen deutet daraufhin, dass Open Source Software sicherer ist. Aber die jeweiligen Anwender spielen hier vermutlich auch keine zu geringe Rolle.



    Finde die Diskussion mit dir aber wirklich interessant, weil es doch immer etwas mehr Komplexität aufweist, als es den Anschein macht und du hast schon recht, dass nichts eine Endgültige Lösung darstellt solange es Leute gibt die Software Schwächen gezielt ausnutzen und immer der Anwendungsfall entscheiden mit eine Rolle spielt.

    Zumal jemand der gemütlich irgendwas hacken kann, weil er im Code nach Löchern suchen konnte, diese kaum direkt verrät - sondern weiterhin verwendet oder für Geld verkauft.
    Bei OS hat man den Code vor sich und kann finden durch stöbern.
    Bei Nicht-OS, findet man Lücken durch Try&Error.

    Ich halte diese Aussage ehrlich gesagt eher für eine Traumvorstellung insbesondere wenn ein Programm eine gewisse Komplexität erreicht hat.

    Deine Aussage steht im übrigen in keinem Bezug zu meiner Aussage, denn sobald eine Lücke bekannt wird wird diese auch geschlossen - das war meine Aussage. Wenn es wirklich eine Person X geben würde der sich einer Lücke bewusst ist und diese ausnutzt, ist diese Lücke ja nicht allgemein bekannt.

    Bei Softwareherstellern schaut es anders aus, die müssen erst reagieren wenn die Kacke am dampfen ist und wissen womöglich von Lücken im eigenen Code, welche aber schwer zu stopfen sind und hoffen, dass erstmal alles gut geht ;D


    Es ist meiner Erfahrung nach weitaus komplizierter und bedeutend schwerer eine offensichtliche Hintertür / Fehler in einem Code zu finden als einfach via Try & Error Unmengen an Dingen / Angriffe austesten zu lassen und entsprechend dem Verhalten weiter zu agieren. Solche Fehler im Programm bzw Sicherheitslücken kommen ja oft durch das Zusammenspiel von mehreren unabhängig voneinander geschriebenen Codes zusammen.


    Bei Open Source Software hast du ja auch keine kontinuierliche Erweiterung des Programmes sondern es werden genauso Updates erzeugt nachdem der Code überarbeitet und geprüft wurde.


    Das Dir keine bekannt ist, bedeutet nicht, das es sie nicht gibt.
    Ich mache das (unter anderem) beruflich. Bevor eine Software zum Kunden geht, wird sie dekompiliert um die Bereiche zu finden die mehr geschützt werden müssen.

    Es ist vollkommen richtig, dass nur weil ich es nicht kenne, es nicht heißt dass es das nicht gibt - habe ich ja auch so geschrieben.

    Aber wenn eine gewinnorientierte Software Firma nicht möchte, dass du das Programm dekompilieren kannst, dann wirst du das niemals dekompilieren können.

    Ich weiß nicht was du beruflich machst, aber kommerzielle Software zu dekompilieren ist in der Regel illegal und Open Source Software zu dekompilieren ist sinnlos. Ich zweifle sehr stark an der Korrektheit deiner Aussage, gebe ich offen zu.

    Um "Bereiche zu finden die mehr geschützt werden müssen" zu finden, brauche ich kein Programm dekompilieren, weil Änderungen kann ich nur vornehmen wenn ich das Programm selbst geschrieben habe oder es nicht geschützt ist.

    Und wenn es um eigene Software geht, kann ich diese natürlich so schreiben dass ich sie auch wieder dekompilieren kann, nur werde ich sie in dieser Form wohl kaum an einen Kunden liefern und tut in diesem Kontext wiederum nichts zur Sache.

    Das habe ich nicht bezweifelt. Das Gegenteil ist halt auch nicht sicherer.

    Naja - per se ist Open Source Software nicht besser oder sicherer, das stimmt schon. Kommt halt immer drauf an was für Code verwendet wird und wie groß das Projekt ist. Ab einer kritischen Masse von Mitlesern und Leuten wird FOSS dann doch deutlich sicherer statistisch gesehen und sobald eine Lücke publik wird, muss und wird diese auch geschlossen - was bei anderer Software nicht unbedingt der Fall sein muss.

    Viele Features von Open Source Software werden auch nur langsam hinzugefügt bis wirklich ausreichend getestet wurde und es gibt verschiedene Kanäle welche ein Anwender dann verwenden kann, "stable" "beta" etc. Ein Gewinnorientiertes Unternehmen arbeitet hier im allgemeinen dann doch etwas anders da es ja direkte Konkurrenz gibt.

    Im Grunde ist eh alles OS was sich decompilieren lässt.

    Naja, nein. Zum einen ist mir keine reverse engineering Methode bekannt die wirklich den verwendeten Code ausspuckt und zum anderen kommt es ja auch auf den Compiler an wie das kompilierte Programm letztlich aussieht - was auch gewisse Sicherheitsrisiken im Open Source Bereich mit sich bringt. --> Sicherheitslücke im Compiler führt zu Sicherheitslücke im Programm auch wenn der Code sauber ist.


    Hat alles seine für und wider. Aber gerade was Verschlüsselung und Betriebssystem anbelangt ist für mich klar, dass ich auf Open Source Lösungen setzte und lieber weniger Funktionen habe (was ja nicht immer der Fall sein muss)

    Wo diskreditiere ich denn bitte?

    Diskreditiere, Bedeutung:

    • abqualifizieren, abwerten, durch den Schmutz ziehen, herabsetzen


    Irgendwelche Non-Open Source Drittanbieterapps für KeePass auf mobilen Endgeräten disqualifizieren sich aus Sicherheitsgründen von selbst. Damit ist ein solcher Passwortmanager nur auf Computern einsetzbar. Und wo ist das dann "die bessere Software"? Ein Passwortmanager muss eine Software sein, die überall verfügbar ist

    Falschaussage


    "Belege für Behauptungen" findet man für so ziemlich alles, inklusive dass die Erde flach sei.

    Falschaussage und ins lächerliche ziehen. Vielleicht kennst du aber auch den Unterschied einer Behauptung und eines Beleges nicht, denn wenn es Belege für eine flache Erde gäbe, wäre es ja bewiesen dass die Erde flach ist. An diesem Punkt irgendwelche Verschwörungstheorien ins Spiel zu bringen ist halt Taktik um das Gegenüber zu diffamieren. Gleiche Strategie fährst du oft eben z.b. bei dieser gender Diskussion.

    Und dann schreibst du auch noch gerne was von "ad hominem" obwohl du selbst lediglich Scheinargumente bringst und genau das hier ein perfektes Beispiel für Brunnenvergiftung und tu quoque ist. ;D


    Tiefer möchte ich gar nicht eindringen - letztlich ist das jedem selbst überlassen. Kann gut sein, dass 1Password sehr sicher ist, aber nur weil 1Password schreibt wie sicher sie sind, bedeutet das nicht, dass dem so ist.

    Braucht sich nur jemand in deren System Hacken und klar Codes aus dem RAM auslesen oder oder oder. Klar, kann mir privat auch passieren, keine Frage, aber zumindest weiß ich (wenn mich es interessiert) was die Software genau wie macht und biete nicht so eine große Grundlage überhaupt angegriffen zu werden.

    Nur weil du eine Lokale Kopie deiner Datenbank im Cache heißt, heißt das nicht, dass du die Datenbank lokal hast in der Form wie sie auf deren Server liegen - 1Password ging ja lange Zeit offline, habe es vor vielen Jahren selbst verwendet. Mit dem Cloud Zwang disqualifizieren sie sich aus Sicherheitstechnischer Sicht nun von selbst - meiner Meinung nach.


    Zum Thema "ad hominem"

    Doch, das weiß ich. Bitte lies die vorhandenen Whitepaper von 1Password. Ebenfalls wird der Secret Key dort nicht nur für die Genehmigung des Endgerätes verwendet, sondern fließt direkt in die Verschlüsselung ein. Ein Entschlüsseln der Datenbank ist ohne die Kombination aus Secret Key und Masterpasswort nicht möglich. Der Secret Key ist (sehr laienhaft ausgedrückt) quasi eine Verlängerung meines Passwortes.

    Ja, kannst dir ja mal auf archive.org anschauen was LastPass so versprochen hat in der Vergangenheit und dann wurden sie gehackt und endlos viele Datenbanken ergaunert.

    Demnach kann ich auch jeden X beliebigen VPN Anbieter nehmen, weil sie schreiben ja alle "zero log" "only RAM" etc - gibt Angebote für 15€ lifetime.


    Cloud ist cloud. Meine Haustür und mein Auto sperr ich auch selber zu und meine home automation mit Garage etc lasse ich auch nicht über irgendeinen China Server steuern sondern betreibe es lokal, genau aus diesem Grund.


    Jedem das seine.

    Aber dadurch dass es Alternativen gibt die mindestens genauso konfortabel sind, sehe ich gerade wenn man in diesem Kontext halbwegs bewandert ist (wir sind hier ja im netcup forum) absolut keinen Sinn darin nicht auf wirklich sichere open source Lösungen zu setzten - ein valides Argument dies nicht zu tun ist mir noch nie über den Weg gelaufen.

    Macht keinen Sinn mit dir zu diskutieren, weil du nur versuchst zu diskreditieren und nicht zu argumentieren und auch tatsächlich einfach nicht verstehst von was du eigentlich redest - passt exakt in das Bild welches du von dir vermittelt hast in der gender Diskussion - dort hast du genau das gleiche Spiel getrieben.


    Bei Cloud Passwort Managern sind die Datenbanken nicht lokal - was damit geschieht wirst du niemals wissen. Alleine der Fakt, dass sehr viele Tresore auf deren Servern liegen, macht so einen Anbieter viel attraktiver für Angreifer, da potentiell um ein vielfaches mehr zu holen ist.

    Bei deinem Cloud Provider weißt du auch niemals wie genau deine Passwörter verschlüsselt sind.

    Gerade so ein "Secret Key" bringt dir halt gleich mal überhaupt nichts. Kann schon sein, dass du ohne so etwas kein neues Gerät verwenden kannst, aber was soll das bringen wenn ein Angreifer die Datenbank abgreift?


    Wenn so ein Cloud PW Manager einen "Secret Key", "2FA" und Passwort zur Absicherung deiner Datenbank hat aber den Secret Key lediglich dafür verwendet um ein Endgerät zu genehmigen und den 2FA nur dazu verwendet um dich zur Stufe der Passworteingabe kommen zu lassen und hinter diesen 2 Türen dann deine lediglich mit Passwort verschlüsselte Datenbank liegt, bringt dir das ganze Prozedere nichts mehr wenn deren Server gehackt werden und via Brute-force die Datenbanken geknackt werden - dann kannst dir das 2FA und den Secret Key gleich sparen.


    PS: Nein, ich bin nicht der Meinung dass irgendein PW Manager besser ist als kein PW Manager - ganz im Gegenteil. Wenn dort alle meine Passwörter, Notizen etc. gespeichert werden sollte es meine einzigste und höchste Priorität sein diese Datenbank best möglich zu schützen und bevor ich das irgendeinen x beliebigen Cloud Provider mit proprietärer Software übergebe, schreib ich die Passwörter etc. lieber in ein Notizbuch oder speichere dort nur unwichtige Dinge, die mein Leben leichter machen aber nicht arg viel schwerer wenn es mit dem Anbieter in die Hose geht.

    TBT du scheinst nicht begriffen zu haben worum es mir ging. Vollkommen egal in welcher cloud deine - eigens und lokal verschlüsselte Datei - gespeichert wird. Sie ist nunmal geschützt

    Bei einem cloud Passwort Manager weist du rein garnichts darüber wie und ob eine Datenbank geschützt, gesichert, verschlüsselt etc wird.


    Ob eine - durch mich selbst auf eigener Hardware - sicher verschlüsselte Datei nun auf meiner eigenen Festplatte, auf meiner eigenen Nextcloud oder auf einen beliebigen Cloud Provider liegt, ist relativ egal da niemand an die klar Daten kommt.


    Es gibt genügend ausgezeichnete Open Source Android Apps (iOS mäßig kenne ich mich nicht aus), z. B. Keepass2Android (github) und KeePassDX (ebenfalls Github) - mit Fingerabdruck unterstütztung, yubikey, lokalen Cache falls keine internetverbindung besteht etc pp........



    Und nein, das ist wohl keine bekannte Seite, aber sie liefern Belege für Behauptungen und ja 1Password ist dort auf Platz 3 (von 5 oder so ^^) , aber die besten Passwort Manager, also Open Source Lösungen, werden dort garnicht behandelt.


    PS: Eben mal gesucht nach iOS, gibt genügend (kostenlose) Open Source Programme, insofern...

    Letzenendes sollte es aber an Sicherheit auslangen, wenn der Dienstleister die Daten selbst nicht entschlüsseln kann.

    Und das weiß man eben einfach nicht auch nicht wie und vor allem wann dann wie Verschlüsselung passiert.

    Genauso verspricht jeder VPN Anbieter nur RAM Server mit "zero log policy" zu verwenden -.-


    Insbesondere 1Password hat Jahre lang eine lokale Speicherung ermöglicht - hab das selber verwendet - vor weit über 10 Jahren.

    Aber der Cloud zwang ist einfach witzlos in meinen Augen.


    PS: Wenn man sich mal hier die Einträge mit Quellen so ansieht, schaut das nicht so unglaublich Sicher aus rundum 1Password

    https://password-managers.bestreviews.net/faq/which-password-managers-have-been-hacked/

    Und das sind nur Sachen die dort gelistet sind, fraglich ob das wirklich vollständig ist ;D